Ports werden immer gescannt!

#1 Meine Ports werden immer wenn ich im Internet bin gescannt
Ist ein Portscann legal oder nicht? Und was darf ich dagegen unternehmen?

#2 Hallo Philip,
Portscans sind nicht illegal und du kannst generell auch nichts dagegen unternehmen. Wenn deine Ports dicht sind, kann nichts passieren.

Aber mich würde mal interessieren, welche Ports denn bei dir gescannt werden und wie oft das passiert.

Reinhart

#3 Naja, unternehmen kann man schon etwas dagegen insoweit das der Scanner gegenüber der meinung ist das der Host nicht online ist. Mit einer entsprechend weingerichteten Firewall und einem guten Router ist das kein Problem. NMap ist hier bei jedem normalen Scan der Meinung mein Host wäre down und finden Null Ports und das obwohl der Rechner ganz normal im netz ist incl. ICQ etc am laufen.

Mit so einer Maßnahme können nurnoch die "Profis" feststellen das der Rechner online ist. Die normalen Kids die fast immer für Scans verantwortlich sind finden dann nix mehr. Zwar wird der Scan trotzdem ausgeführt aber das Ergebnis ist Null. Der erste Schutz wäre am erstenr Perimetergerät (Router meist) die meisten ICMP Meldungen zu deaktivieren incl. dem Ping. Noch besser ist der Router besitzt eine entsprechende erkennung von Portscanns und ignoriert nach wenigen Paketen einfach alles und schickt keinerlei Antwort mehr zurück.

#4 TCP 80,1087,1089, 1062, 1061
UDP1026, 1028

#5 Ich gebe MacDefender natürlich recht: Wenn du ne richtig konfigurierte Firewall hast, kannst du einigermaßen ruhig schlafen gehen. Und sollten hartnäckige Gerüchte zutreffen, dass ein guter Hacker auch ne Firewall tunneln kann, dann hilft nur beten. Aber die Wahrscheinlichkeit ist extrem gering, dass das passiert, damit müssen wir leben.
Hier hab ich ein paar Adressen, mit denen du testen kannst, ob deine Ports stealth, also von außen unsichtbar sind:
http://security.symantec.com/ssc/home.asp?j=1&langid=de&venid=sym&plfid=22&pkj=MHOHJRKFVIXXGKZYVTH
[symantec security check]
http://grc.com/x/ne.dll?rh1dkyd2
[Shields Up]
http://scan.sygate.com/preicmpscan.html
[sygate security check]

Reinhart

#6 @rherder

Du brauchst weder beten noch musst du damit leben das es so gute Hacker gibt die einen netfilter unterlaufen könnten - es gibt immer ein potentielles großes risiko mit desktop firewalls aber ich denke das größte risiko sind doch die anwender selbst. Und wenn die ports 'stealth' sind dann sind sie nicht unsichtbar im gegenteil sogar. Du brauchst auch überhaupt keinen port dicht machen wenn du keinen dienst am laufen hast oder ähnliches ports sind in ihrer natürlichen form immer nicht benutzbar. Das einzige was passieren könnte wäre A) das der anwender seine software falsch konfiguriert B) das die firewall applikation 'undicht' ist und kompromitiert werden kann.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 Hallo Philip,

wie rherder schon sagte, Portscans sind nichts ungewöhnliches.

Es gibt legale Tools mit denen man so etwas z.B. im eigenen Intranet machen kann, um festzustellen, welche Ports offen und damit gegen Angriffe von außen evtl. gefährdet sind. Natürlich lassen sich genau die gleichen Tools auch für's Internet verwenden, um die Ports anderer Rechner zu scannen.
Nur kann es unter Umständen sein, daß man dann dabei mit seinem Provider ein Problem bekommt. Hängt wahrscheinlich vom Provider ab und davon, was/wen man versucht zu scannen. Aber wie gesagt, es ist nichts ungewöhnliches und an sich noch nichts gefährliches, also noch kein Grund zur Aufregung.

Da Du in der Lage bist, Portscans festzustellen, nehme ich mal an, daß Du über eine Firewall verfügst. Ob Du einigermaßen in Sicherheit bist hängt aber a) davon ab, welche Firewall Du verwendest und b) wie Du sie eingerichtet hast, also welche Rules die Firewall schon bei der Installation von sich aus eingerichtet hat, bzw. welche Du für Deine Programme dann selbst erstellt hast.

Meinen Erfahrungen nach ist nicht jede Firewall wirklich als Schutz geeignet.
Obwohl: eine Firewall mit geringem Schutz ist immer noch besser als garkeine.

Hier ein kleiner Erfahrungsbericht:

Mein PC war neu, mit Windows ME als Betriebssystem, also noch total jungfäulich und ungehackt, sozusagen. Tja, hat aber nicht lange gebraucht, da hatte sich schon jemand unbemerkt eingeklinkt. Nachdem ich das durch einen Zufall, oder besser gesagt, durch die persönliche Dummheit des Hackers, zufällig bemerkt hatte, habe ich mich natürlich sofort auf die Suche nach Schutz dagegen begeben. Das der PC wegen des des Hackereinbruchs nicht mehr zu gebrauchen war ist wohl klar. Eine totale Neuinstallation war also unbedingt erforderlich. Damals und auch noch eine sehr lange Zeit danach war das noch sehr mühselig, da ich über keinerlei Backup-System verfügte.
So eine Neuinstallation nahm da schon mal locker mindesten 4 Tage in Anspruch. Sehr ärgerlich.

Dann stieß ich auf Zone Alarm. Das wurde damals in der Presse als Freeware Firewall über den grünen Klee gelobt. Wie ich in der Folgezeit (nicht lange nach der Installation) allerdings feststellen mußte, war die damalige Version absolut nicht geeignet, auch nur den nötigsten Schutz zu bieten.
Mittlerweile ist ja einige Zeit vergangen. Laut aktuellen Testberichten soll sich da ja einiges wesentlich verbessert haben. Nach den neuesten Berichten soll es tatsächlich nicht schlecht sein. Wenn es nicht unbedingt sein muss, möchte das aber trotzdem nicht noch einmal ausprobieren. Zone Alarm, in der aktuellsten Verion versteht sich, ist aber immerhin besser als überhaupt kein Schutz.

So, nachdem Zone Alarm damals nicht die erhoffte Wirkung zeigte, kaufte ich mir ein kommerzielles Programm, von McAfee. Die waren damals mit ihren Anti-Viren Programmen sehr gut, also dachte ich mir, eine Firewall von denen dürfte auch nicht schlecht sein. Aber was soll ich sagen, auch von dieser Meinung habe ich mich nach kurzer Zeit trennen müssen. Irgend so ein Idot musste es wohl aus irgendeinem Grund auf mich abgesehen haben.

Hatte ich vielleicht Karies? War mein Mundgeruch schuld? Lag es an meiner Glatze? Der schiefen Nase, oder meinem Überbiss ? Vielleicht auch an meinem schielenden Blick, der die Leute immer so verwirrt? Daran, daß ich nicht richtig sprechen kann? Oder, daß ich nicht richtig lesen kann? Daran, daß ich nicht richtig schreiben kann? Vielleicht an meinen Segelohren, oder gar an meinem Wasserkopf?

Meiner Meinung nach kommt es nur auf das wirkliche Wesen einer Person an und nicht auf die äußerliche Erscheinung, oder darauf ob diese Peron in der Lage ist, sich zu artikulieren.

Aber ich glaube, ich schweife vom Thema ab .....

Mittlerweile hatte mein PC sich jedenfalls in die ewigen Jagdgründe verabschiedet, wegen mangelhafter Verarbeitung, wie sich später herausstellte. Dummerweise war aber auch die Garantie schon abgelaufen.
Hmmm .... naja, vielleicht hätte ich das hier doch etwas schneller schreiben sollen ...

Damals leistete ich mir zu Weihnachten also einen neuen PC, mit dem nagelneuen und sagenumwobenen Betriebssystem Windows XP Home. Sollte ja eine integrierte Firewall haben, das Ding. War aber nicht weit her damit, weil sie im Auslieferungszustand standardmäßig deaktiviert ist.
Bis ich schließlich dahinterkam war es natürlich schon wieder zu spät. Wie gesagt, irgendwen hat etwas an mir wohl gestört. Nun ja, vielleicht hatte ich auch nur schlechten Umgang und bin in den falschen Kreisen verkehrt, unerfahren wie ich war.
Ein Systembackup war zwar inzwischen schneller machbar, denn wie ich mittlerweile aus diversen Computerzeitschriften erfahren hatte, gibt es da ein einigermaßen brauchbares Backup-Programm, das auf Windows ME und XP Installations-CD's mitgeliefert wird, nur finden muß man's erst einmal. Damit war/ist die Systemwiederherstellung immerhin innerhalb eines halben Tages möglich. Geht aber auch nur, wenn man vorher Windows von der Installations-CD neu installiert. Spart dafür aber die Neuinstallation jedes einzelnen Programms.
Da ich damals nirgendwo eine auch nur annähernd geeignete Anleitung zur Einrichtung der XP-Firewall finden konnte, begab ich mich auf die Suche nach einer geeigneten Firewall-Software. In der Folgezeit schieden dann noch ein paar Firewall-Systeme als ungeeignet aus:
Kerio, Norton 2001 bis 2003 ... alle mehr oder weniger anfällig.
Outpost 2.0 soll sehr gut sein .... Gerüchten zufolge.
Ich bin mittlerweile bei Norton 2004. Die Schwachstellen der Vorgängerversionen scheinen behoben zu sein. Jedenfalls hat es noch keiner geschafft, die Firewall und Anti-Virus von außen abzuschalten, was bei den Vorgängerversionen scheinbar mühelos möglich war. Jedenfalls ist es mir in der Vergangenheit öfter passiert, daß der Schutz durch Firewall und Anti-Virus plötzlich futsch war,
d.h. Symbole in der Taskleiste in einem Moment noch da, im nächsten Moment verschwunden. Âußerdem kam es öfter mal vor, daß scheinbar irgendwelche wichtige Dateien der Firewall zerstört wurden. Hatte jedesmal eine totale Neu-Installation des gesamten Systems zur Folge, oder zumindes der Firewall.
Wenn die nicht mehr richtig funktioniert kann es zu den seltsamsten Fehlermeldungen kommen.
Was die neue Norton Firewall 2004 (Norton Internet Security) betrifft:
Ich fürchte, daß lediglich die Schwachstellen dieser Version noch recht unbekannt sind, so daß sich bisher nur äußerst wenige Hacker darauf eingeschossen haben.

Ach verflixt, jetzt ist mir der Text doch schon wieder viel zu lang geraten ....

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#8 @xeper

Hm, also das find ich aber komisch was du schreibst:
Zitat1: "Und wenn die ports 'stealth' sind dann sind sie nicht unsichtbar im gegenteil sogar".
Das hätte ich gerne mal genauer, denn dann würden sich ne Menge ziemlich gut informierte Leute irren.
Zitat2: "Du brauchst auch überhaupt keinen port dicht machen wenn du keinen dienst am laufen hast oder ähnliches"
Was ist denn mit den Netbios Ports 137,139? Also ich bin seinerzeit mit ner bestimmten Soft locker auf fremde Rechner gegangen, weil die keine FW am laufen hatten und diese Ports offen hatten.

R.

#9 @Xeper

Zitat

Und wenn die ports 'stealth' sind dann sind sie nicht unsichtbar im gegenteil sogar

Du sag' mal, wie meinst'n dass? Wieso sollten gerade solche Ports, die von einem Scanner (wie z.B. bei grc) als 'stealthed' angegeben werden gerade nicht unsichtbar sein, also, mal angenommen es läuft gerade auf dem eigenen System keine spezielle Software ?????

Es ist mir schon klar, daß die auf dem eigenen System installierte Software bestimmte Ports benutzen kann und somit auch irgendwie über diese Ports von außen ansprechbar sein wird. Es ist mir auch klar, daß die eigene Software auf eingehende Datenpakete reagiert, sofern das Regelwerk der Firewall dies zuläßt.

Aber wo soll bei dieser Software die Schwachstelle sein, wenn nur ausgehender Datenverkehr zugelassen wird ? Die Firewall prüft, ob das Datenpaket, das von außen an diese Software gesendet wird, auch von dieser Software angefordert wurde. Trifft das nicht zu, wird es verworfen, oder nicht ?

Cascade

Hm.... jetzt hab' ich gerade die inzwischen eingegangenen Antworten gelesen, hab' mal wieder zu lange für meine eigene Antwort gebraucht ....
Also, wie rherder schon sagt .... klär' uns bitte auf ....


Oh, ja. Klar, Xeper, nachdem ich Deinen Text ein zweites mal gelesen habe ...
Du hast Dich vielleicht nur etwas umständlich ausgedrückt.
Von alleine fängt ein Port nicht an, Daten zu senden oder aufzunehmen und dann irgendwelche Aktionen in die Wege zu leiten, da muß schon ein auf dem System laufendes Programm dahinter stehen. Ohne ein Programm ist ein Port absolut nicht in der Lage, irgendwelche Aktionen durchzuführen. Irgendwie logisch oder ? Und wenn ein Programm dahinter steht, hängt es vom Programm und von den in der Firewall konfigurierten Regeln ab, was möglich ist und was nicht.
Dummerweise laufen auf einem Windows-System dermaßen viele Systemprogramme im Hintergrund, die fast alle gerne Kontakt zum Internet hätten, daß ein System ohne Firewall ein ausgesprochener Selbstmordkandidat ist, vor allem in Anbetracht der täglich steigenden Anzahl an Patches.
Allein auf meinem System sind bis jetzt über 25 Patches installiert.
Würde eine Privatperson in der Öffentlichkeit in dermaßen geflickten Klamotten rumlaufen käme sie in Hotel und kein Lokal mehr rein und müßte ein Dasein als Penner auf der Straße fristen, wenn sie ihren Lebensunterhalt nicht gerade als Clown bestreitet.


Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#10 Wer NetBIOS auf seiner DFÜ Verbindung aktiviert hat der ist selbst Schuld. Windows-Freigaben haben im WAN überhaupt nichts zu suchen und bloß, weil es standardmäßig an ist heißt das nicht das man dafür eine FW bräuchte.

Zu dem Stealth-Quatsch:
http://www.rokop-security.de/main/article.php?sid=15
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#11 Naja, ein Windows komplett dichzubekommen ohne FW ist sogut wie unmöglich für einen normalen Anwender. Auch sehr beliebt ist ja den UDP Port für das PnP (5000 glaube ich war es). Ich würde persönlich generel immer zu einer vorgeschalteten Hardware FW (im Router z.B.) raten. Notfalls tut es auch eine Software wobei das nicht so besonders sicher ist aber immerhin hilft es etwas.

Eine große Gefahr ist aber oft der User der meint seine Software-FW schützt ihn jetzt und anfängt auf Seiten zu gehen wo er sich vorher nicht hingetraut hätte. Man sollte einer Software FW nicht zuviel zutrauen. Schließlich setz sie nur auch ein schon schlechtes System auf und kann auch keine Wunder bewirken. Und wer seiner FW bestimmte Ports wie z.B. 80 generell freigibt kann die FW auch gleich ausschalten ohne weitere Prüfungen. Wenn man sich etwas Mühe macht kann man viele billige Firewalls mit fragmentierten Paketen "ausspielen". Entweder die Fragmente so kurz wählen das die Regeln garnicht greifen oder das erste Paket an einen erlaubten Port (wie 80) schicken und das nächste Fragment mit Offset 0 das ganze dann überschreiben lassen und auf einen beliebigen anderen Port gehen. Genau das wird auch öfters als FW "tunneln" bezeichnet und funktioniert oft einwandfrei

Noch sind die meisten im Netz nicht so weit solche Techniken anzuwenden aber die Kids werden auch immer schlauer (bzw. die Tools besser) und somit ist es nur eine Frage der Zeit bis man privat auch betroffen wird. Deshalb kann ich jedem der es sich leisten kann nur raten sich eine gute Hardware FW vor den Rechner zu setzen und dann den Rest der noch durchkommt mit einer NIDS überwachen zu lassen. Natürlich sollte der Benutzer auch verstehen wie die FW funktioniert und konfiguriert wird. Nichts ist schlimmer als ein super Schutz der deaktiviert ist.

Und wer schon eine Software FW besitzt: Lieber die Meldungen doppelt lesen und wenn man sie nicht versteht sich das Wissen aneignen. Eine FW bringt nix wenn man immer nur auf OK drückt weil man die Meldungen nicht versteht. hab sowas leider schon alzuoft erlebt. Und Antworten wie "Das ist normal, das kommt immer wenn ich das starte" dürfen nicht sein. So bringt die beste FW nichts.

Aber was mich bei deinem Portscan etwas wundert ist das da nur ganz wenige Ports abgefragt werden. Das ist so kein Scan nach irgendeinem Service sondern scheint schon gezielt nach einem Dienst zu suchen wobei diese Ports bis auf 2 eher ungewöhnlich sind. Sind das alle Ports die gescannt werden und sind es bei jeder Einwahl immer die gleichen?

Und ist auch sicher das dies Scans sind? Liefert die FW weitere Infos was für Scans? (XMax, SynStealth..)

Ansonsten sind Portscans ansich noch harmlos da sie nur die Erkundung für einen evtl. Angrif darstellen. Der Scan ansich ist noch nicht so schlimm. Ausser es ist z.B. ein Idlehost Scan oder ein DoS Angriff mit dem Ziel das die FW eine bekannte IP blockt was aber privat eher selten sein dürfe. Wobei so jemanden von Chat aussperren auch manchmal probiert wird.

#12 @asdrubael

Jetzt muss ich aber mal was sagen, auch wenn ich damit ins off topic rutsche.
Ich finde es ein bisschen arrogant, Leute schnell mit selber schuld abzukanzeln. Ich hab auch vorn paar Jahren mal angefangen mich um die Sicherheit meiner Kiste zu kümmern, und da war Netbios und Ports und all das ein Buch mit 7 Siegeln für mich. Nicht jeder hat die Zeit sich ständig mit Sicherheitsfragen rumzuschlagen und beispielsweise dieses Forum zu lesen.
Schuld hat hier nur EINER und der heißt Bill Gates, der ein unsicheres Betriebssystem liefert, dessen Netzwerkeinstellungen darüber hinaus total chaotisch strukturiert sind.

Reinhart

#13 @rherder: Da stimme ich vollständig mit überein soweit allerdingst hat aber meiner Ansicht trotzdem der Benutzer selber Schuld das er sich dieses System installiert. Es gibt genügend sicherere Alternativen die nicht mehr kosten. Z.B. ist ein eMac sogar günstiger als jeder SupermarktPC und mit MacOS X von Haus aus extrem sicher.

Klar ist das Produkt Windows vom Sicherheitsaspekt her absolut grausam aber installieren (und hoffentlich auch kaufen) tut dieses System immernoch der Anwender. Und wer sich eine altes rostiges Auto kauft darf nicht dem Hersteller die Schuld geben das er beim Unfall nicht sicher ist

#14 @MacDefender

So schwer ist es nicht, die Windows-Ports dichtzubekommen. Nützliche Seiten dazu (dennoch mit Vorsicht an die Sache rangehen!):
http://www.ntsvcfg.de
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html

Hat man auf diese Weise alle Internet-Services beendet, braucht man als Privat-User(!) keine (teure) Hardware-Firewall und schon gar kein IDS.
Merke: wo keine Dienste angeboten werden, kann auch niemand (von außen) "eindringen".

Und bei aktuellen Trojanern (oft mit Reverse-Connection) bringen Software-Firewalls (plus evtl. ein paar Zusatztools) imho wesentlich mehr, als vorgeschaltete Hardware-Lösungen.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#15 Für UPnP, den Nachrichtendienst und DCOM empfehle ich:
http://grc.com/default.htm

Es ist doch immer das gleiche: Die Leute kaufen sich einen Rechner, wissen absolut gar nichts über das Thema Sicherheit und lassen sich dann verrückt machen, damit sie teure Programme kaufen. Und zum Schluß ist immer Windows schuld das man sich selbst zugelegt hat.

Eine installieren und sicher Lösung gibt es nicht, auch nicht bei Apple oder Linux. Wenn man sich nicht mit der Materie beschäftigt kann man jedes noch so gute Sicherheitskonzept vernichten.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.